Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Das Übliche... Startseite gekapert.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.02.2005, 15:39   #1
carsten-moss
 
Das Übliche... Startseite gekapert. - Standard

Das Übliche... Startseite gekapert.



Hallo Leute,

ich kann mir vorstellen, dass solche "Fälle" nerven - ich hab´ mal wieder einen hartnäckigen Fall einer gekaperten Startseite auf Win NT, die ich nicht entfernt bekomme - ich habe versucht, einige Punkte mit Hijack This zu fixen (bei NT im VGA-Modus, da es ja anscheinend keinen abgesicherten Modus gibt) - dennoch wird der Müll wieder hergestellt. Warum nur...

Hier das Hijack This-Log:

Logfile of HijackThis v1.99.0
Scan saved at 15:29:25, on 14.02.05
Platform: Windows NT 4 SP6 (WinNT 4.00.1381)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINNT\Explorer.exe
C:\WINNT\System32\SysTray.Exe
C:\WINNT\System32\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Windows NT\HYPERTRM.EXE
D:\ROLAND\WinZip\winzip32.exe
C:\TEMP\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.btx.dtag.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;<local>
O2 - BHO: (no name) - {38C61784-4A8E-4F2D-8DE5-8556C4D5F5A1} - C:\WINNT\System32\gfik.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINNT\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: exif launcher.lnk = C:\Programme\Windows NT\HYPERTRM.EXE
O18 - Filter: text/html - {386A5F11-C691-419F-8782-9A8F0CC40998} - C:\WINNT\System32\gfik.dll
O18 - Filter: text/plain - {386A5F11-C691-419F-8782-9A8F0CC40998} - C:\WINNT\System32\gfik.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Compaq Local Alerter - Compaq Computer Corporation - C:\WINNT\System32\cpqalert.exe
O23 - Service: Compaq Remote Diagnostics Enabling Agent - Unknown - C:\WINNT\CPQDIAG\CPQDFWAG.EXE
O23 - Service: CPQDMI - Compaq Computer Corporation - C:\WINNT\System32\cpqdmi.exe
O23 - Service: Compaq DMI Web Agent - Compaq Computer Corporation - C:\Programme\COMPAQ\CpqWebDMI\webdmi.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: Insight Manager LC Remote Management - Compaq Computer Corporation - C:\Programme\Compaq\LCRMS\LCRMS.EXE
O23 - Service: Win32sl - Intel - c:\dmi\win32\bin\Win32sl.exe

Gruß,

Carsten

Alt 14.02.2005, 15:41   #2
Chris14
 

Das Übliche... Startseite gekapert. - Standard

Das Übliche... Startseite gekapert.



ok.. dann gehe so vor:
1.escan
-lade dir escan runter und gehe genau nach dieser anleitung vor (ab da, bis "gehe in den normalen modus" im abgesicherten(vga) modus die sachen erledigen)

2.einträge löschen
-fixe mit HijackThis diese einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\TEMP\se.dll/sp.html
O2 - BHO: (no name) - {38C61784-4A8E-4F2D-8DE5-8556C4D5F5A1} - C:\WINNT\System32\gfik.dll
O18 - Filter: text/html - {386A5F11-C691-419F-8782-9A8F0CC40998} - C:\WINNT\System32\gfik.dll
O18 - Filter: text/plain - {386A5F11-C691-419F-8782-9A8F0CC40998} - C:\WINNT\System32\gfik.dll

3.dateien löschen
-lösche die datei gfik.dll im ordner c:\winnt\system32
-lösche natürlich auch alle von escan beanstandeten dateien (alle infected)
(falls die dateien nicht angezeigt werden gehe so vor:
klicke auf extras, dann auf ordneroptionen
klicke auf ansicht
mach den haken bei "geschützte systemdateien ausblenden" weg
mach nen haken bei "inhalte von systemordnern anzeigen" hin
selektiere "alle dateien und ordner anzeigen")

4.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues HijackThis log
__________________


Alt 14.02.2005, 17:08   #3
JeverFun
 
Das Übliche... Startseite gekapert. - Standard

Das Übliche... Startseite gekapert.



hallo Leute,

nochmals der Bleifreibiertrinker ...

konnte mein Problem leider nicht mir escan beheben!

Habe dann temporär die Zugriffsrechte auf die Registry geändert und so das Problem "gelöst" - heute dann mit XoftSpy von
http://www.paretologic.com/
die Sache endgültig in den Griff bekommen!

Für die Zukunft jedoch gibt es nur eines: IE -> FIREFOX !!!
__________________

Alt 14.02.2005, 17:09   #4
carsten-moss
 
Das Übliche... Startseite gekapert. - Standard

Das Übliche... Startseite gekapert.



Hallo,

escan habe ich gleich 2x durchlaufen konnte, weil ich dem Suchergebnis nicht vertraut habe - hatte keine Fehler gefunden (oder besser keine angezeigt).

Im Log habe ich folgende Meldungen zum Thema "infected" gefunden:

Fri Oct 15 12:22:08 2004 => File C:\WINNT\Downloaded Program Files\win.exe infected by "Trojan.Win32.StartPage.ol" Virus. Action Taken: File Deleted.

Fri Oct 15 13:13:05 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Mon Oct 18 16:34:44 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Mon Oct 18 16:35:19 2004 => File C:\TEMP\backups\backup-20041018-154659-662 infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed

Fri Jan 28 13:23:48 2005 => File C:\WINNT\System32\blbkhp.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: No Action Taken.

Fri Jan 28 13:23:52 2005 => File C:\WINNT\System32\blbkhp.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: No Action Taken.

Fri Jan 28 13:25:07 2005 => File C:\WINNT\System32\delaybuf.dll infected by "Trojan-Downloader.Win32.Small.agb" Virus. Action Taken: No Action Taken.

Fri Jan 28 13:25:07 2005 => File C:\WINNT\System32\tmp.exe infected by "not-a-virus:AdWare.ToolBar.Perez.b" Virus. Action Taken: No Action Taken.

Fri Jan 28 13:27:50 2005 => File C:\TEMP\sp.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Fri Jan 28 13:29:00 2005 => File C:\WINNT\Profiles\Roland\TEMPOR~1\Content.IE5\GSTCU71P\on-line[1].exe infected by "Trojan-Downloader.Win32.Agent.hr" Virus. Action Taken: No Action Taken.

Fri Jan 28 13:38:31 2005 => File C:\WINNT\System32\blbkhp.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: No Action Taken.

Fri Jan 28 13:47:14 2005 => File C:\TEMP\sp.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Fri Jan 28 14:09:26 2005 => File C:\msOinfo.exe infected by "Trojan.Win32.StartPage.tj" Virus. Action Taken: No Action Taken.

Mon Feb 14 14:02:58 2005 => C:\WINNT\se.dll possibly infected and removed by background antivirus package!

Mon Feb 14 14:03:02 2005 => File C:\WINNT\se.dll infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

Mon Feb 14 15:16:16 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Mon Feb 14 15:16:16 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\MAIL DELIVERY (FAILURE C.MOSS@MARKTUNDMEDIA.DE).DAT.VIR

Mon Feb 14 15:16:59 2005 => Result: ERROR!!! File C:\Programme\AVPersonal\INFECTED\MAIL DELIVERY (FAILURE C.MOSS@MARKTUNDMEDIA.DE).DAT.VIR: Scanning Failure!!!

Mon Feb 14 15:16:59 2005 => ERROR!!! ScanFile fails for C:\Programme\AVPersonal\INFECTED\MAIL DELIVERY (FAILURE C.MOSS@MARKTUNDMEDIA.DE).DAT.VIR

Mon Feb 14 15:17:26 2005 => File C:\Programme\IESearchToolbar\IESearchToolbar.dll infected by "not-a-virus:AdWare.ToolBar.Perez.b" Virus. Action Taken: No Action Taken.

Mon Feb 14 15:18:19 2005 => C:\RECYCLED\DC6026.DLL possibly infected and removed by background antivirus package!

Mon Feb 14 15:18:19 2005 => File C:\RECYCLED\DC6026.DLL infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.



Eine ganze Stange.... alte Möhre, der Sicherheitsstandard gehört geupdatet, ich weiß. Danke für die Hilfe.

Carsten

Antwort

Themen zu Das Übliche... Startseite gekapert.
abgesicherten modus, agent, antivir, antivir update, avg, bho, boot, computer, diagnostics, explorer, hijack, hijack this, hijackthis, ics, internet, internet explorer, microsoft, nerven, programme, remote, seite, software, startseite, system, system32, temp, update, warum, windows




Ähnliche Themen: Das Übliche... Startseite gekapert.


  1. PC gekapert?
    Plagegeister aller Art und deren Bekämpfung - 06.04.2017 (9)
  2. Win8: Verlinkte Wörter, blinkende Virenwarnungen - das Übliche
    Log-Analyse und Auswertung - 22.08.2014 (14)
  3. 2x Win8: Verlinkte Wörter, blinkende Virenwarnungen - das Übliche
    Mülltonne - 19.08.2014 (3)
  4. Das übliche: Windows 7: Kritischer Fehler aufgetreten, Neustart in einer Minute
    Alles rund um Windows - 03.02.2014 (5)
  5. Microsoft-Blog gekapert
    Nachrichten - 12.01.2014 (0)
  6. Metasploit-Domain gekapert
    Nachrichten - 11.10.2013 (0)
  7. Win7 Dienste gekapert.
    Plagegeister aller Art und deren Bekämpfung - 10.08.2013 (9)
  8. Das Übliche: Angeblich habe ich mich strafbar gemacht und muss zahlen
    Plagegeister aller Art und deren Bekämpfung - 04.09.2012 (1)
  9. Der übliche 50€-Windows-Sperre-Kapersky-mist..
    Plagegeister aller Art und deren Bekämpfung - 16.02.2012 (3)
  10. Malware verschickt sich selbst, das übliche eben
    Plagegeister aller Art und deren Bekämpfung - 16.08.2011 (1)
  11. Metropolitan Police Virus - das Übliche
    Plagegeister aller Art und deren Bekämpfung - 14.07.2011 (22)
  12. ICQ-Virus ohne übliche Symptome
    Log-Analyse und Auswertung - 20.04.2010 (5)
  13. Übliche iexplorer.exe Problem- Bitte helfen!
    Log-Analyse und Auswertung - 16.05.2008 (18)
  14. virenschutz gekapert - bagel?
    Log-Analyse und Auswertung - 04.03.2008 (9)
  15. das übliche, log auswerten teil 2
    Log-Analyse und Auswertung - 17.11.2004 (3)
  16. Startseite gekapert, Trojaner werden wiederhergestellt
    Plagegeister aller Art und deren Bekämpfung - 17.11.2004 (4)
  17. das übliche, log auswerten :-)
    Log-Analyse und Auswertung - 16.11.2004 (2)

Zum Thema Das Übliche... Startseite gekapert. - Hallo Leute, ich kann mir vorstellen, dass solche "Fälle" nerven - ich hab´ mal wieder einen hartnäckigen Fall einer gekaperten Startseite auf Win NT, die ich nicht entfernt bekomme - - Das Übliche... Startseite gekapert....
Archiv
Du betrachtest: Das Übliche... Startseite gekapert. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.